Verplichte ict-beveiliging voor alle vitale organisaties
Minister Grapperhaus van Justitie en Veiligheid wil de Wet beveiliging netwerk- en informatiesystemen (Wbni) gaan wijzigen, zodat alle vitale organisaties in Nederland aan een algemeen basisniveau van beveiligingsdoelen moeten gaan voldoen. Nu geldt voor een deel daarvan alleen meldplicht bij het NCSC.
De minister schrijft dit in een reactie op het rapport ‘Voorbereiden op digitale ontwrichting’ van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek. De wet die hij wil aanpassen is de Nederlandse versie van een Europese richtlijn NIB, die vitale organisaties helpt om tot eenduidige netwerk- en informatiebeveiliging te komen. Onder vitale organisaties verstaat men energiebedrijven, banken, transportbedrijven en belangrijke ict-bedrijven, zoals rekencentra en aanbieders van cloud-diensten.
Niet langer voldoende
De bedrijven zijn nu al verplicht om ernstige incidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) en het Agentschap Telecom. Daarnaast zijn de meest vitale bedrijven verplicht om hun ict-infrastructuur tegen aanvallen en incidenten te beveiligen. De wat minder vitale bedrijven kunnen volstaan met melding van incidenten, maar dat vindt Grapperhaus niet langer voldoende. Ook die bedrijven wil hij onder de Wbni laten vallen, zodat zij beveiligingsmaatregelen treffen conform een algemeen basisniveau. Het gaat om alle bedrijven waarbij incidenten met ict-systemen gevolgen kunnen hebben voor alle burgers en bedrijven in Nederland.